Malware Analysis
|
|
- 준혁 모
- 6 years ago
- Views:
Transcription
1 Malware Analysis 악성코드분석 Ixaobny.exe 에대하여분석해보자. 2/16/2016 By Kali KM
2 2 Malware Analysis SAMPLE DETAILES Dropper File Name ixaobny.exe File Size 220 KB ( 225,280 Bytes ) CRC32 5B68BBB5 MD5 FDBC952660B7FCB2A9A5C434D2EDBB6E SHA-1 2BC748B6DEAAB5E342041A3D2A65AE1E46B14609 Dropped #1 File Name File Size MD5 SHA-1 CRC32 ixaobn.dll 79 Bytes 6A9B74D991A70F4606AB3E298618FB74 DC346D4B84CD000FF42EF56C F9593EE64 6EF6FE6A Extracted #1 File Name LogonCLI.EXE File Size 169 KB ( 173,568 Bytes ) CRC32 DF3DA2EA MD5 98E71167C0194A81E674B2874B4A3A4B SHA-1 570EBBDB97E87C434E33382F62AA4E CC9
3 3 Malware Analysis 목차 1 요약 개요 동적분석 Process 분석 MFT 분석 Prefetch 분석 Registry 분석 Network 분석 정적분석 Memory 분석 Disassembly 분석 그림 / 표그림 1. 요약... 4 그림 2. Process Explorer... 6 그림 3. WireShark 그림 4. Rekall - Consolescan 그림 5. Rekall - malfind 그림 6. HxD 그림 7. HxD 그림 8. IDA (1) 그림 9. IDA (2) 그림 10. IDA (3) 그림 11. IDA (4) 그림 12. IDA (5) 표 1. 사용된도구... 5 표 2. NTFS Log Tracker... 7 표 3. WinPrefetchView... 8 표 4. REGA... 9 표 5. Whois 표 6. Rekall - dlllist... 13
4 4 Malware Analysis 1 요약동적분석과정적분석을통해분석을진행하였다. 1 장에서는이렇게분석한내용들을통해해당악성코드가어떠한동작을하였는지요약한페이지다. 우선해당악성코드는안티디버깅기법이존재하기에분석을하는데있어고충을겪었으며완벽한분석은하지못하였다. 분석한내용들은다음과같다. 그림 1. 요약 해당악성코드는디렉터리와파일을생성한다. %AppData% 의 \Roaming\Microsoft 에 ixaobnyx 라는디렉터리는생성한뒤해당경로에 ixaobny.exe 와 ixaobn.dll 그리고 %LocalAppData%\TEMP\ 에 ~ixaobny.tmp 를생성한다. 파일과관련해서는 이렇게동작한다. 프로세스와관련해서총 4 개의프로세스가더생성된다. 최초실행한 6.exe 는 ixaobny.exe 와 cmd.exe 를생성한다음, 위그림과같이각프로세스들은 explorer.exe 와 ping.exe 를생성한다. 여기서 ping.exe 는메모리분석을통해확인한결과로컬호스트에 ping 명령을수행하는것임을확인할수있다. 이렇게실행된프로세스들은 explorer.exe 를남기고모두종료된다. Explorer.exe 는지속적으로프로세스로남아동작하는것을확인할수있다. 마지막으로레지스트리와관련되어해당키에 ixaobny.exe 를등록한다. 이는악성코드의지속성을유지하기위한방법으로, 등록된파일은해당유저가로그인했을때자동으로실행되도록설정한다. 이외에도분석을하면서통신이나서비스등록등의작업이있지만불분명하게분석되었다. 따라서해당부분들은각장에서확인할수가있다.
5 5 Malware Analysis 2 개요이번문서는악성코드를분석하면서, 어떠한방식으로분석을하고어떻게문서로정리할것인가에대하여중점으로작성하였다. 그러므로악성코드를완벽히파악하는것이아닌, 어떠한기능의함수들을가지고있고이러한함수들이어떠한구조로존재하는지파악하는것이목적이다. 악성코드를분석하는데있어크게 2 단계로나누어살펴볼것이다. 동적분석과정적분석으로나뉘어지며, 동적분석은악성코드를직접실행시키므로나타난결과들에대하여살펴볼것이다. 반대로정적분석은악성코드를디버거를통해실행했을때의결과에대하여살펴볼것이다. 각분석에사용된도구들은다음의표와같다. 분석종류 도구명 버전 동적분석 Process Explorer v16.02 NTFS Log Tracker v1.4 REGA v1.5 WinPrefetchView v1.32 WireShark v1.12 정적분석 Rekall v1.4.1 Volatility v2.3.1 OllyDBG v1.0 IDA Pro v6.6 표 1. 사용된도구 위의도구들을이용하여전체적인분석을진행하였다. 동적분석을먼저진행하여 어떠한동작들이이루어지는지확인을한뒤, 정적분석을통해이에대하여좀더 구체적을알아볼것이다.
6 6 Malware Analysis 3 동적분석동적분석은해당악성코드를실행하므로나타나는증상에대하여정리한섹션이다. 악성코드를분석함에있어어떠한기능을하는지빠르게파악하기쉽다는측면이있다. 하지만눈에보이는것을위주로확인하기에놓치는측면도존재함은알아야한다. 여기서악성코드의행위에대하여구분을위하여해당악성코드의이름을 6.exe 로변경한후실행하였다. 3.1 Process 분석최초악성코드 6.exe 를실행하면 2 개의자식프로세스를생성한다. Ixaobny.exe 라는새로운프로세스와 cmd.exe 를생성한다. 여기서 cmd.exe 는명령어를통해입력되어실행되는경우가많다. 이러한 cmd 에는 PING 명령어가전해져 PING.EXE 가이에대한하위프로세스로생성된다. 새롭게생성된 ixaobny.exe 는다시 explorer.exe 라는프로세스를생성한다. 여기서 explorer.exe 는흔히악성코드들이자신을위장하기위하여 svchost 와함께흔히 사용되는프로세스의이름이다. 그림 2. Process Explorer 이렇게생성된프로세스들은자신의역할을다한뒤종료된다. 하지만모든 프로세스가종료되는것은아니다. 바로새로생성된 explorer.exe 는계속프로세스로 남아자신의행위를지속한다.
7 7 Malware Analysis 3.2 MFT 분석그렇다면프로세스가아닌파일과관련하여어떠한동작들이일어나는가에대해선 MFT 를살펴보면용이하다. MFT 에는파일에대한메타정보들이저장되어있기때문에, 유용한정보들을많이제공받을수가있다. 이중특히 $LogFile 의경우트렌젝션로그로, 파일에대한변화가있을경우이에대하여기록하여저장한다. 악성코드에따른트렌젝션로그는아래의표와같다. Event File Name Full Path Dir Creation Ixaobnyx %AppData%\Roaming\Microsoft\Ixaobnyx File Creation Ixaobn.dll %AppData%\Roaming\Microsoft\ixaobn.dll Ixaobny.exe %AppData%\Roaming\Microsoft\Ixaobny.exe Writing Data Ixaobny.exe %AppData%\Roaming\Microsoft\Ixaobny.exe File Creation 6.EXE.PF - IXAOBNY.EXE.PF - ~ixaobny.tmp %LocalAppData%\Temp\~ixaobny.tmp PING.EXE.PF - File Deletion 6.exe %UserProfile%\Desktop\6.exe Writing Data System.evtx %SystemRoot%\System32\winevt\Logs\System.evtx PING.EXE.PF - CMD.EXE.PF - EXPLORER.EXE.PF - ~ixaobny.tmp %LocalAppData%\Temp\~ixaobny.tmp 표 2. NTFS Log Tracker 이를통해어떠한파일과관련되어행동하는지알수가있다. 우선 Ixaobntx 라는디렉터리는생성하고해당경로에 ixaobn.dll 과 ixaobny.exe 를생성한다. 그리고 TEMP 에 ~ixaobny.tmp 를생성한다. 이러한동작을한뒤최초실행되었던 6.exe 는삭제된다. 따라서생성된 ixaobny.exe 와 ixaobn.dll 에대하여접근하고자할경우해당경로로이동하여이를추출할수가있다.
8 8 Malware Analysis 새로생성된 ixaobn.dll 의경우크기가 79 Bytes 로매우작은파일이다. 심지어해당 파일에는 MZ 헤더또한존재하고있지않다. 따라서이를통해추가적으로얻을수 있는정보는없다. 그렇다면새로생성된 ixaobny.exe 의경우는어떨까? 새로생성된 ixaobny.exe 의경우해당경로로이동하여추출한뒤 HASH 값을 비교해본결과최초실행된 6.exe 와같은 MD5, SHA-1 값을갖는것을확인할수가 있었다. 이는두파일이같은파일이라는것으로, 최초 6.exe 가실행되면해당 바이너리를모두 %AppData%\Roaming\Microsoft\ixaobnyx\ixaobny.exe 라는파일에 기록한뒤자기자신을삭제한다는것을알수가있다. 3.3 Prefetch 분석프로세스가실행될때 Prefetch 파일을생성하게된다. 이러한프리패치파일의경우어떠한파일이같이로드되었는지확인할수가있기때문에, 유용한단서들이주어지는데, 해당파일의경로와파일과관련된다른파일들에대한정보까지확인할수가있다. 아래의표를확인하자. Process Loaded File Full Path 6.exe Ixaobny.exe %AppData%\Roaming\MICROSOFT\Ixaobnyx\ cmd.exe %SystemRoot%\SysWOW64\ Ixaobny.exe.. cmd.exe Ping.exe %SystemRoot%\SysWOW64\ Reg.exe Find.exe Shutdown.exe Icacls.exe 1 Takeown.exe 2 Explorer.exe Ixaobn.dll %SystemRoot%\SysWOW64\ %SystemRoot%\SysWOW64\ %SystemRoot%\SysWOW64\ %SystemRoot%\SysWOW64\ %SystemRoot%\SysWOW64\ %AppData%\Roaming\MICROSOFT\Ixaobnyx\ 표 3. WinPrefetchView 1 파일이나폴더의소유권을가지고오는명령어 2 접근권한을편집하기위한명령어
9 9 Malware Analysis 표에나타난바와같이해당프로세스가어떠한파일들을로드하는지나타내었다. 여기서최초실행된 6.exe 는새로생성된 ixaobny.exe 와 cmd.exe 를로드하는것을확인할수가있다. 이렇게로드된 cmd.exe 는 ping 뿐만아니라 reg, find, shutdown 등많은실행명령어들을로드하지만, 이중에서 ping.exe 만사용한다는것을 3.1 에서확인할수가있었다. 이상한점이있다면 ixaobny.exe 가 explorer.exe 를하위프로세스로생성하는것을 확인할수가있었는데, 로드된항목에는존재하지가않는다. 또한 Explorer.exe 는 ixaobn.dll 을가지고있지만, 막상메모리를분석한결과에서는해당 dll 이로드되어 있지않다. 따라서프리패치파일에나타난정보만으로는구체적으로어떠한관련이 있는지단정짓기는힘들다. 3.4 Registry 분석해당파일을실행한뒤, 레지스트리에어떠한변화가있는지확인해보아야한다. 흔히악성코드들은레지스트리를이용하는데, 주로지속성유지를위하여레지스트리에등록한다. 이렇게레지스트리에등록된악성코드는서비스로서실행되거나, exe 파일자체로실행되게끔구성되는경우가많다. 분석을위해서는 Regshot 을이용해도비슷한결과를얻게될것이다. 여기선 :13:45 가량해당악성코드를실행하였다. 이렇게실행한뒤어느정도여유를두고확인하였다. REGA 를통해확인할경우시간대를통해검색이가능하다. 위의시간을기준으로이후에나타난레지스트리변화에대해기록된사항중특이한요소는아래의사항과같다. Key Last Write Time Key Path Run :13:50 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Value Value Type Value Data Xwozbpc REG_SZ %AppData%\Roaming\Microsoft\Ixaobnyx\ixaobny.exe 표 4. REGA
10 10 Malware Analysis 해당경로는악성코드가지속성을유지하기위하여빈번히사용되는경로이다. 해당경로에등록된파일은 PC 가시작될때자동으로실행되도록하는키이다. 여기서해당키에 xwozbpc 라는값의 ixaobny.exe 를확인할수가있다. 여기서파일은경로는최초실행된 6.exe 가존재하던 Desktop 이아닌 Ixaobnyx 라는것도놓치지말아야한다. 따라서해당악성코드를치료하고자할때, 해당경로의파일을삭제하며레지스트리에등록된키값도제거하여야한다. 3.5 Network 분석해당악성코드는다른곳과통신을진행하는것으로간주된다. 다만프로그램을실행시켰을때바로진행되는것이아니라는것이다. 어떠한경우에통신을진행하는지는확인할수가없었지만, WireShark 를통하여통신에대한 packet 은확인할수가있었다. 그림 3. WireShark 위의목적지와통신을주고받기전, 로부터암호화된 Application Data 를받아오는것을확인할수가있다. 이후통신을주고받은 IP 역시같은도메인에 등록된서버임을알수가있다. 위두번의통신모두 GET 을통해요청을한뒤이에 대해서버의응답을받은내용을확인할수가있다.
11 11 Malware Analysis 항목 내용 Inetnum Netname ESOTERICA Descr Lisboa, Portugal Country Portugal Admin-c ES06-RIPE Status Assigned PA Created T18:09:50Z Last-Modified T18:09:50Z 표 5. Whois 해당서버에대한정보는 whois 를통해확인할수가있다. Whois 를통해해당 IP 주소를검색하면등록된도메인과할당받은 IP 주소범위에대하여알수있을뿐만 아니라국적, 이름등에대해정보를얻을수가있다. 이에대한결과는위의표와같다.
12 12 Malware Analysis 4 정적분석정적분석에서는동적분석을통해얻은행위들에대하여좀더세부적으로살펴볼것이다. 이를위해 Rekall 과 Volatility 등을통한메모리분석기법과 OllyDBG 와 IDA 등의디스어셈블러및디버거를통해분석을진행한다. 이러한각분석과정에대하여살펴보자. 4.1 Memory 분석메모리분석과정에사용된메모리는 ixaobny.exe 와 cmd.exe 가종료된후, explorer.exe 만이남아실행되고있는시점의메모리를이용하였다. 우선 cmd 를통해 어떠한명령이사용되었는지확인할수가있다. 아래의그림을보자. 출력된결과를통해 conhost.exe 에 ping.exe 와 cmd.exe 가핸들로되어실행되었다는것을확인할수가 있다. 이뿐만 아니라 덤프된 내용을 통해 ping 명령어가 Localhost( ) 에 보내진다는것을알수있다. 그림 4. Rekall - Consolescan 그렇다면이제 3.2 와 3.3 에서언급되었던 ixaobn.dll 에대하여알아보자. Prefetch 파일을분석하므로얻었던결과에따르면 Explorer.exe 프로세스가 ixaobn.dll 과관련되어 있다는것을알수가있다. 메모리를분석하는데있어특정프로세스가어떠한 DLL 을가지고있는지확인할수가있다. Volatility 와 Rekall 모두 dlllist Plugin 을통해 PID 를지정해주면쉽게결과를확인할수가있다. 아래의표를보자. 해당플러그인의결과로최초 explorer.exe 에대한 DLL List 임을알수가있다. 여기서특이한점이있다면바로 ixaobn.dll 이존재하고있지않다는것이다.
13 13 Malware Analysis Explorer.exe pid : 2004 Base Size Load Reason/Count Path 0x x C:\Widonws\SysWOW64\explorer.exe 0x773c0000 0x1a C:\Windows\System32\ntdll.dll 0x x3f000 3 C:\Windows\System32\wow64.dll 0x742e0000 0x5c000 1 C:\Windows\System32\wow64win.dll 0x74fd0000 0x C:\Windows\System32\wow64cpu.dll 표 6. Rekall - dlllist 이럴경우몇가지예상해볼수있다. Ixaobny.exe 를통해 explorer.exe 가생성될때 ixaobn.dll 이로드된후해당명령어를실행, 또는바이너리를다른곳에기록한후 FreeLibrary 를통해해당 DLL 을언로드했을수도있다는가능성이존재한다. 아래의그림을보자. 그림 5. Rekall - malfind 이는 malfind 를통한결과로, 코드가삽입된부분을출력해준다. 0x 과 0x80000 두곳에 MZ 헤더가존재하고있다. 여기서해당 explorer.exe 를추출하여확인해보면해당 Image Base 는이두곳이아닌 0x 임을알수가있다. 이두곳에대한파일이나핸들이존재하지않으므로, 코드를삽입후언로드했을가능성은무시할수없다. 4.2 Disassembly 분석디버거를통해분석을진행함에있어서 Anti-Debugging 기법에의하여분석중인프로세스가계속종료되거나멈추는현상이나타났다. 해당지점부터는 IDA 를통해해당프로세스의구조를파악하는것을위주로분석하였다.
14 14 Malware Analysis 최초실행한 6.exe 를디버거를통해분석을진행하였다. 해당악성코드는바이너리를가지고있으면서이를압축하여숨겨놓고있는상태이다. 따라서프로세스가진행되면서이러한바이너리가압축해제되는과정을거쳐원래의바이너리로나타나게된다. 아래의그림을보자. 위에있는바이너리가압축이해제되기전의데이터이다. MZ 헤더로시작하여새로운 PE 파일임을알수가있다. 0x 의 CALL EAX 를통해 RtlDcompressBuffer API 를호출하여하단의바이너리로다시생성된다. 해당바이너리는이후에 LogonCLI 라는이름으로메모리에올라오게된다. 그림 6. HxD 이렇게바이너리를생성한이후에임시적인공간을 VirtualAlloc API 를통해생성한 뒤해당명령어들은 6.exe 의바이너리를제거하고해당부분에 LogonCLI 의데이터를 기록한다. 즉, 6.exe 의내용이사라지고위에나타난바이너리 (LogonCLI) 가그위치에 기록된다는것이다. 이후 LogonCLI 의구조분석을통해크기를구한뒤, 내용을 추출하면추가적인분석에도움이된다. 단, 이렇게바이너리가기록되는작업중간에기록되어야할바이트가아닌다른값이중간에기록된다. 분명히반복문을통해해당지점에서읽은바이너리를목적지에기록하는부분임에도불구하고아래의그림과같이차이를보인다. 0x55 를읽었지만해 0xCC(INT 3) 이기록되는등, 본래의코드가손상되어나타난다. 따라서이러한부분은반복문이종료된뒤, 차이가있는바이트를직접수동으로올바르게써주어야한다.
15 15 Malware Analysis 그림 7. HxD 이렇게총 2 번의바이너리기록이이루어진다. 6.exe 의내용이대체된후중요한다시기록된 6.exe 의메인함수는 0x 에위치해있다. 원래이부분에서는어떠한함수에어떤인자가들어가는지등을확인하므로악성코드의동작에대하여자세하게확인하는것이필요하지만, 본인이파악하지못한안티디버깅기법으로인해정상적인분석은불가능하였다. 대신주요 4 가지기능에대하여알아보자. 새로운메인함수에서는주요한기능을하는방식은 4 가지로볼수가있다. 여러 조건문을통해 4 가지이상의경우로나뉘어지지만, 해당프로세스가별다른기능을하지 않거나종료되는것또한포함되어있기때문에이 4 가지에대해서만살펴볼것이다. 그림 8. IDA (1) 첫번째기능은 ShellExecute API 로가는루프이다. 해당 ShellExecute 에반환값이 5 일경우 Sleep 을호출하는함수로진행한다음, Sleep 이끝나고다시 ShellExecute API 를호출한다. 여기서반환값이 5 인지비교하는데, ShellExecute API 는함수가
16 16 Malware Analysis 성공적으로진행된경우 32 이상의값을반환한다. 5 가반환이된다는것은 Access Denied 가발생한것으로, 접근이거부됐을땐일정시간이지난뒤다시 ShellExecute 함수를호출한다는것이다. 그림 9. IDA (2) 나머지 3 가지기능이나타나있는부분이다. 주석이존재하는부분은해당주소로 Step Into 하여추가로분석했을때확인할수있는 API 들을기록한것이다. 여기서 특이한점이있다면, 가운데에위치한박스를보자. PUSH 를통해 Offset Parameter 를 Stack 에넣는것을확인할수가있다. PUSH 다음에 CreateProc_WriteMem(skip) 을 호출하는데, 해당부분에는 CreateProcess 가존재하고있다. 따라서새로운프로세스가 생성될때해당 Parameter 부분이크게관련있을것이라볼수있다. Paremeter 에서는주석에나타낸바와같이서비스를생성하고이를시작한다. 하지만이를확인하고동적분석의방법을통해서비스목록에변화가있는지비교해보았을때, 서비스목록이변화하지않았다. 따라서구체적으로어떠한서비스가생성되는지이름은알수없지만, 해당서비스가실행되기전 Dnscache 라는서비스가실행이되어야한다는것은확인할수가있다. 그림 10. IDA (3)
17 17 Malware Analysis 이러한 Parameter 가 Stack 에들어가는것을확인하였다. 그렇다면그뒤에 호출하는 CreateProc_WriteMem(skip) 을보자. 해당부분의함수를보면크게 3 가지가 있다. CreateProcess, WriteProcessMemory, ResumeThread 이다. 이 3 개의함수가같은 곳에위치한다는것은충분히악의적인행위를할여지가크다는것이다. 아래의그림을보자. CreateProcess 의 CreationFlags 가 CREATE_SUSPENDED 로되어 있는것을확인할수가있다. 이는프로세스를생성하기는하지만, 바로실행하지않고 정지상태에놓는것이다. 이렇게정지된프로세스는 ResumeThread API 를통해 재개시켜주어야만정상적으로프로세스가진행된다. 그림 11. IDA (4) 우선프로세스가생성된후중지상태에들어간다음, WriteProcessMemory API 가사용된다. 해당 API 는지정된프로세스의메모리에버퍼를기록하는 API 이다. 어떠한내용이기록되는지확인할수는없지만 nsize 가 5 라는것임을통해, 기록되는버퍼의크기가 5 Bytes 라는것을알수가있다. 이렇게버퍼가기록된후 ResumeThread 를통해프로세스가재개된다는것을알수가있다. 이제다시그림 IDA (2) 를확인하자. 두번째기능에대하여위에서살펴보았다. 그렇다면이제좌측에존재하고있는 FileCD_Shell_Time2(skip) 에대하여알아보자. 해당 부분에서는파일에대하여복사, 제거함수등이있으며, 여기에도 ShellExecute 가 사용된다. 뿐만아니라, 컴퓨터의이름과로컬시간, 시스템시간을반환하는 API 들도 사용된다. 이를통해해당악성코드를실행한 PC 의정보를수집한다고볼수있다.
18 18 Malware Analysis 하지만여기서가장중요한함수는바로 CreateProcessAsUser API 이다. 우측의그림과같이 해당 API 가사용된다. 이 API 역시프로세스를 생성하는함수이다. 다만차이점이있다면현재로그온된사용자계정으로프로세스가실해오디는것이아니라지정된특정계정으로프로세스를구동하는 API 이다. 여기서인자로사용된 Creation Flag 를보자. 해당값이 0x 이라는것을확인할수가있다. 해당값은 Default Error Mode 로, 해당프로세스는기본에러모드로 생성된다. 그림 12. IDA (5) 이렇게프로세스가생성할수있는 API 가총 2 개라는것을알수가있었다. 어떠한프로세스가생성되는지는안티디버깅에의하여확인할수가없었지만, 어떠한함수들을가지고 6.exe 가진행되는지알수있었다. 6.exe 의새로운메인함수에서큰카테고리 4 가지중 2 곳이프로세스의생성과관련이있었으며, 다른두가지는외부프로그램을실행시키는쉘명령어와파일을복사하기위한 API 임을확인하였다. 악성코드가어떠한구조도진행되는지는확인하였지만, 그기능에대해서는확인하지못하였음을다시한번이야기한다. 따라서이후안티디버깅을우회하여, 분석을진행할수있게된다면프로세스가생성될때어떠한버퍼를가지고실행되는지확인하면쉽게해당악성코드에대하여이해할수있을것이다.
ActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationForensic Analysis
Forensic Analysis 침해사고대응분석 Yuri s PC 침해사고분석보고서 11/13/2015 By Kali KM 2 Forensic Analysis 목차 1 분석결과요약... 4 1.1 의뢰내용요약... 4 1.2 해당 PC 악성코드감염사항... 4 2 증거수집및분석도구... 5 2.1 증거수집도구... 5 2.2 분석도구... 6 3 증거수집...
More information<41736D6C6F D20B9AEBCADBEE7BDC42E687770>
IDA Remote Debugging 2007. 01. 이강석 / certlab@gmail.com http://www.asmlove.co.kr - 1 - Intro IDA Remote debugging에대해알아봅시다. 이런기능이있다는것을잘모르시는분들을위해문서를만들었습니다. IDA 기능중에분석할파일을원격에서디버깅할수있는기능이있는데먼저그림과함께예를들어설명해보도록하겠습니다.
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationFrama-C/JESSIS 사용법 소개
Frama-C 프로그램검증시스템소개 박종현 @ POSTECH PL Frama-C? C 프로그램대상정적분석도구 플러그인구조 JESSIE Wp Aorai Frama-C 커널 2 ROSAEC 2011 동계워크샵 @ 통영 JESSIE? Frama-C 연역검증플러그인 프로그램분석 검증조건추출 증명 Hoare 논리에기초한프로그램검증도구 사용법 $ frama-c jessie
More information슬라이드 1
-Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationMicrosoft PowerPoint - chap06-2pointer.ppt
2010-1 학기프로그래밍입문 (1) chapter 06-2 참고자료 포인터 박종혁 Tel: 970-6702 Email: jhpark1@snut.ac.kr 한빛미디어 출처 : 뇌를자극하는 C프로그래밍, 한빛미디어 -1- 포인터의정의와사용 변수를선언하는것은메모리에기억공간을할당하는것이며할당된이후에는변수명으로그기억공간을사용한다. 할당된기억공간을사용하는방법에는변수명외에메모리의실제주소값을사용하는것이다.
More informationTablespace On-Offline 테이블스페이스 온라인/오프라인
2018/11/10 12:06 1/2 Tablespace On-Offline 테이블스페이스온라인 / 오프라인 목차 Tablespace On-Offline 테이블스페이스온라인 / 오프라인... 1 일반테이블스페이스 (TABLESPACE)... 1 일반테이블스페이스생성하기... 1 테이블스페이스조회하기... 1 테이블스페이스에데이터파일 (DATA FILE) 추가
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture3-2 Malware Analysis #3-2 Agenda 안드로이드악성코드분석 악성코드분석 안드로이드악성코드정적분석 APK 추출 #1 adb 명령 안드로이드에설치된패키지리스트추출 adb shell pm list packages v0nui-macbook-pro-2:lecture3 v0n$
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationDeok9_Exploit Technique
Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security
More information[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀
[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500
More information슬라이드 1
휴지통포렌식 JK Kim @pr0neer proneer@gmail.com 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More information임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과
임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 System call table and linkage v Ref. http://www.ibm.com/developerworks/linux/library/l-system-calls/ - 2 - Young-Jin Kim SYSCALL_DEFINE 함수
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할
악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information1. 개요 악성코드는여러분류로나누어볼수가있다. 이중일반사용자의입장에서 악성코드 라는단어보다친숙한 바이러스 가있다. 사실필자도보안을공부하기이전에는 악성코드 라는단어는아예들어보지못했고, 대신 바이러스 라는단어로모든악성코드를지칭했었다. 바이러스는악성코드분류의한종류로 스스로를
Malware Analysis Report Mad Angel 2016.09.17 By Kali-KM 1. 개요 악성코드는여러분류로나누어볼수가있다. 이중일반사용자의입장에서 악성코드 라는단어보다친숙한 바이러스 가있다. 사실필자도보안을공부하기이전에는 악성코드 라는단어는아예들어보지못했고, 대신 바이러스 라는단어로모든악성코드를지칭했었다. 바이러스는악성코드분류의한종류로
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More informationMicrosoft PowerPoint - [#4-2] File System Forensic Analysis.pptx
File System Forensic Analysis Twitter : @pr0neer Blog : f Email : proneer@gmail.com Kim Jinkook Outline 1. File System Forensic Analysis (FAT/NTFS) Recovery for Deleted Files (FAT/NTFS) Unallocated Cluster
More informationMalware Analysis
Malware Analysis 악성코드분석 3.20 전산대란의주역 DarkSeoul.exe 에대하여알아보자. 3/21/2016 By Kali KM 2 Malware Analysis SAMPLE DETAILES Dropper File Name File Size MD5 SHA-1 DarkSeoul.exe 418 KB 9263E40D9823AECF9388B64DE34EAE54
More informationPowerPoint 프레젠테이션
BOOTLOADER Jo, Heeseung 부트로더컴파일 부트로더소스복사및압축해제 부트로더소스는웹페이지에서다운로드 /working 디렉터리로이동한후, wget으로다운로드 이후작업은모두 /working 디렉터리에서진행 root@ubuntu:# cp /media/sm5-linux-111031/source/platform/uboot-s4210.tar.bz2 /working
More information<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070>
#include "stdafx.h" #include "Huffman.h" 1 /* 비트의부분을뽑아내는함수 */ unsigned HF::bits(unsigned x, int k, int j) return (x >> k) & ~(~0
More information<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >
10주차 문자 LCD 의인터페이스회로및구동함수 Next-Generation Networks Lab. 5. 16x2 CLCD 모듈 (HY-1602H-803) 그림 11-18 19 핀설명표 11-11 번호 분류 핀이름 레벨 (V) 기능 1 V SS or GND 0 GND 전원 2 V Power DD or V CC +5 CLCD 구동전원 3 V 0 - CLCD 명암조절
More informationISP and CodeVisionAVR C Compiler.hwp
USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler
More informationMicrosoft PowerPoint - additional01.ppt [호환 모드]
1.C 기반의 C++ part 1 함수 오버로딩 (overloading) 디폴트매개변수 (default parameter) 인-라인함수 (in-line function) 이름공간 (namespace) Jong Hyuk Park 함수 Jong Hyuk Park 함수오버로딩 (overloading) 함수오버로딩 (function overloading) C++ 언어에서는같은이름을가진여러개의함수를정의가능
More information리눅스 프로세스 관리
프로세스 (Process) Process 프로그램이나명령어를실행하면메모리에적재되어실제로실행되고있는상태를의미 이러한프로세스들은프로세스가시작하면서할당받는프로세스식별번호인 PID(Process ID), 해당프로세스를실행한부모프로세스를나타내는 PPID(Parent Process ID), UID 와 GID 정보를통해해당프로세스가어느사용자에속해있는지, 프로세스가파일에대해갖는권한및프로세스가실행된터미널,
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More informationhlogin7
0x07. Return Oriented Programming ROP? , (DEP, ASLR). ROP (Return Oriented Programming) (excutable memory) rop. plt, got got overwrite RTL RTL Chain DEP, ASLR gadget Basic knowledge plt, got call function
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More informationMicrosoft Word - building the win32 shellcode 01.doc
Win32 Attack 1. Local Shellcode 작성방법 By 달고나 (Dalgona@wowhacker.org) Email: zinwon@gmail.com Abstract 이글은 MS Windows 환경에서 shellcode 를작성하는방법에대해서설명하고있다. Win32 는 *nix 환경과는사뭇다른 API 호출방식을사용하기때문에조금복잡하게둘러서 shellcode
More informationSRC PLUS 제어기 MANUAL
,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO
More information<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>
리눅스 오류처리하기 2007. 11. 28 안효창 라이브러리함수의오류번호얻기 errno 변수기능오류번호를저장한다. 기본형 extern int errno; 헤더파일 라이브러리함수호출에실패했을때함수예 정수값을반환하는함수 -1 반환 open 함수 포인터를반환하는함수 NULL 반환 fopen 함수 2 유닉스 / 리눅스 라이브러리함수의오류번호얻기 19-1
More information실험 5
실험. OP Amp 의기초회로 Inverting Amplifier OP amp 를이용한아래와같은 inverting amplifier 회로를고려해본다. ( 그림 ) Inverting amplifier 위의회로에서 OP amp의 입력단자는 + 입력단자와동일한그라운드전압, 즉 0V를유지한다. 또한 OP amp 입력단자로흘러들어가는전류는 0 이므로, 저항에흐르는전류는다음과같다.
More informationDropbox Forensics
Cloud Storage Forensics Part I : Dropbox 2013. 09. 28 forensic.n0fate.com Dropbox Forensics Dropbox Forensics Dropbox 웹기반파일공유서비스 총 12 개의클라이언트지원 Desktop : Windows, Mac OS X, Linux Mobile : ios, Android,
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More informationWin-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14
Win-Trojan/Scar.109568.U 악성코드분석보고서 Written by extr (white-hacker@nate.com, http://extr.kr) 2013. 02. 26 Win-Trojan/Scar.109568.U 악성코드분석보고서 Page 1 / 14 Table of Contents 1. 분석정보 i. 분석대상 ii. 분석환경 2. 동적분석
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationAndroid Master Key Vulnerability
Android Master Key Vulnerability Android Bug 8219321 2013/08/06 http://johnzon3.tistory.com Johnzone 内容 1. 개요... 2 1.1. 취약점요약... 2 1.2. 취약점정보... 2 2. 분석... 2 2.1. 기본개념... 2 2.2. 공격방법... 4 3. 방어대책... 7
More informationFacebook API
Facebook API 2조 20071069 임덕규 20070452 류호건 20071299 최석주 20100167 김민영 목차 Facebook API 설명 Android App 생성 Facebook developers App 등록 Android App Facebook SDK 추가 예제 Error 사항정리 Facebook API Social Plugin Facebook
More information1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro
#44u61l5f GameGuard 에대한간단한분석. By Dual5651 (http://dualpage.muz.ro) 요약 : 이문서는분석자의입장에서 GameGuard의동작을모니터링한것에대한것입니다. 실제 GameGuard의동작방식과는다소차이가있을수있습니다. 이문서에등장하는모든등록상표에대한저작권은해당저작권자에게있습니다. 1. Execution sequence
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More information본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta
[ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More informationMicrosoft Word - FunctionCall
Function all Mechanism /* Simple Program */ #define get_int() IN KEYOARD #define put_int(val) LD A val \ OUT MONITOR int add_two(int a, int b) { int tmp; tmp = a+b; return tmp; } local auto variable stack
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More information금오공대 컴퓨터공학전공 강의자료
C 프로그래밍프로젝트 Chap 14. 포인터와함수에대한이해 2013.10.09. 오병우 컴퓨터공학과 14-1 함수의인자로배열전달 기본적인인자의전달방식 값의복사에의한전달 val 10 a 10 11 Department of Computer Engineering 2 14-1 함수의인자로배열전달 배열의함수인자전달방식 배열이름 ( 배열주소, 포인터 ) 에의한전달 #include
More informationPowerPoint Presentation
FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA SQL Server Forensic AhnLab A-FIRST Rea10ne unused6@gmail.com Choi Jinwon Contents 1. SQL Server Forensic 2. SQL Server Artifacts 3. Database Files
More informationAhnLab_template
Injection 기법및분석법 공개버전 2014.04.17 안랩시큐리티대응센터 (ASEC) 분석팀차민석책임연구원 Contents 01 02 03 04 05 06 07 왜 Injection 기법인가? Injection 기법배경지식 DLL Inection 기법 Code Injection 기법유용한도구 Case study 맺음말및과제 01 왜 Injection 기법인가?
More information문서의 제목 나눔고딕B, 54pt
산업공학과를위한 프로그래밍입문 (w/ 파이썬 ) PART II : Python 활용 가천대학교 산업경영공학과 최성철교수 간단한파일다루기 [ 생각해보기 ] 우리는어떻게프로그램을시작하나? 보통은이렇게생긴아이콘을누른다! 그러나실제로는아이콘이아닌 실행파일 을실행시키는것아이콘을클릭하고오른쪽마우스클릭 속성 을선택해볼것 [ 생각해보기 ] 옆과같은화면이나올것이다대상에있는
More information4S 1차년도 평가 발표자료
모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components
More information<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>
뻔뻔한 AVR 프로그래밍 The Last(8 th ) Lecture 유명환 ( yoo@netplug.co.kr) INDEX 1 I 2 C 통신이야기 2 ATmega128 TWI(I 2 C) 구조분석 4 ATmega128 TWI(I 2 C) 실습 : AT24C16 1 I 2 C 통신이야기 I 2 C Inter IC Bus 어떤 IC들간에도공통적으로통할수있는 ex)
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationAPI STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum
API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information1217 WebTrafMon II
(1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network
More informationvi 사용법
유닉스프로그래밍및실습 gdb 사용법 fprintf 이용 단순디버깅 확인하고자하는코드부분에 fprintf(stderr, ) 를이용하여그지점까지도달했는지여부와관심있는변수의값을확인 여러유형의단순한문제를확인할수있음 그러나자세히살펴보기위해서는디버깅툴필요 int main(void) { int count; long large_no; double real_no; init_vars();
More information네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l
VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 http://blog.naver.com /carrena/50163909320 VMware 에서 linux 설치하기 linux 는다양한버전이존재합니다. OS 자체가오픈소스이기때문에 redhat fedora, 우분투, centos 등등 100 가지가넘는버전이존재함
More informationChapter 05. 파일접근권한관리하기
Chapter 05. 파일접근권한관리하기 00. 개요 01. 파일의속성 02. 파일의접근권한 03. 기호를이용한파일접근권한변경 04. 숫자를이용한파일접근권한변경 05. 기본접근권한설정 06. 특수접근권한 파일의속성을이해하고설명할수있다. 접근권한의종류와표기방법을이해하고설명할수있다. 접근권한을바꾸기위해기호모드에서원하는권한을기호로표기할수있다. 접근권한을바꾸기위해숫자모드에서원하는권한을숫자로표기할수있다.
More informationMicrosoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx
CrackMe 15.exe (in Simples) 문제풀이 동명대학교정보보호동아리 THINK www.mainthink.net 강동현 Blog: johnghb.tistory.com e-mail: cari2052@gmail.com 1 목차 : 1. 문제설명및기본분석 --------------------------- P. 03 2 상세분석 ---------------------------
More informationadfasdfasfdasfasfadf
C 4.5 Source code Pt.3 ISL / 강한솔 2019-04-10 Index Tree structure Build.h Tree.h St-thresh.h 2 Tree structure *Concpets : Node, Branch, Leaf, Subtree, Attribute, Attribute Value, Class Play, Don't Play.
More information시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)
[ Version 1.3 ] Access Point,. Access Point IP 10.0.0.1, Subnet Mask 255.255.255.224, DHCP Client. DHCP Server IP IP,, IP 10.0.0.X. (Tip: Auto Sensing Straight, Cross-over.) step 1]. step 2] LAN. step
More informationLab 3. 실습문제 (Single linked list)_해답.hwp
Lab 3. Singly-linked list 의구현 실험실습일시 : 2009. 3. 30. 담당교수 : 정진우 담당조교 : 곽문상 보고서제출기한 : 2009. 4. 5. 학과 : 학번 : 성명 : 실습과제목적 : 이론시간에배운 Singly-linked list를실제로구현할수있다. 실습과제내용 : 주어진소스를이용해 Singly-linked list의각함수를구현한다.
More information고객 카드 1588-7278
고객 카드 1588-7278 i 안전을 위한 경고사항 안전을 위한 주의사항 i 헤드유닛 DISP RADIO MEDIA PHONE SEEK TRACK 헤드유닛 FOLDER MUTE SCAN SETUP 스티어링 휠 리모트 컨트롤 + - MODE 기본모드 화면 Radio 모드 변경 RADIO 라디오 주파수 검색하기 SEEK TRACK 라디오 모드 사용하기 저장방송
More information디지털포렌식학회 논문양식
Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구 유 병 영, 방 제 완, 이 상 진 고려대학교 디지털포렌식연구센터 Analysis of Windows Transactional NTFS(TxF) and Transactional Registry(TxR) Byeongyeong Yoo, Jewan Bang, Sangjing
More informationMicrosoft PowerPoint - o8.pptx
메모리보호 (Memory Protection) 메모리보호를위해 page table entry에 protection bit와 valid bit 추가 Protection bits read-write / read-only / executable-only 정의 page 단위의 memory protection 제공 Valid bit (or valid-invalid bit)
More information11장 포인터
Dynamic Memory and Linked List 1 동적할당메모리의개념 프로그램이메모리를할당받는방법 정적 (static) 동적 (dynamic) 정적메모리할당 프로그램이시작되기전에미리정해진크기의메모리를할당받는것 메모리의크기는프로그램이시작하기전에결정 int i, j; int buffer[80]; char name[] = data structure"; 처음에결정된크기보다더큰입력이들어온다면처리하지못함
More information10.
10. 10.1 10.2 Library Routine: void perror (char* str) perror( ) str Error 0 10.3 10.3 int fd; /* */ fd = open (filename, ) /*, */ if (fd = = -1) { /* */ } fcnt1 (fd, ); /* */ read (fd, ); /* */ write
More informationPowerPoint 프레젠테이션
Black Falcon 입팀과제 Yoda's Write by FireM@rine INDEX Protector 02 CONTENTS 파일보호기법 (Protector) Protector 사용목적 크래킹 (Crackin) 방지 프로그램이크랙되어서불법적으로사용되는것방지 ( 게임보앆프로그램 ) 코드및리소스보호 PE 파일자체를보호하며파일이실행되었을때프로세스메모리를보호하여덤프를뜨지못하게함
More informationSnort Install Manual Ad2m VMware libnet tar.gz DebianOS libpcap tar.gz Putty snort tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconf
Snort Install Manual Ad2m VMware libnet-1.1.5.tar.gz DebianOS libpcap-1.1.1.tar.gz Putty snort-2.8.6.tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconfig 명령어로현재 IP를확인해본다. 2) vi /etc/network/interfaces 네트워크설정파일에아래와같이설정을해준다.
More informationPowerPoint Template
16-1. 보조자료템플릿 (Template) 함수템플릿 클래스템플릿 Jong Hyuk Park 함수템플릿 Jong Hyuk Park 함수템플릿소개 함수템플릿 한번의함수정의로서로다른자료형에대해적용하는함수 예 int abs(int n) return n < 0? -n : n; double abs(double n) 함수 return n < 0? -n : n; //
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationC# Programming Guide - Types
C# Programming Guide - Types 최도경 lifeisforu@wemade.com 이문서는 MSDN 의 Types 를요약하고보충한것입니다. http://msdn.microsoft.com/enus/library/ms173104(v=vs.100).aspx Types, Variables, and Values C# 은 type 에민감한언어이다. 모든
More informationDeok9_PE Structure
PE Structure CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 1. PE > 1) PE? 2) PE 3) PE Utility
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More information<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>
연습문제해답 5 4 3 2 1 0 함수의반환값 =15 5 4 3 2 1 0 함수의반환값 =95 10 7 4 1-2 함수의반환값 =3 1 2 3 4 5 연습문제해답 1. C 언어에서의배열에대하여다음중맞는것은? (1) 3차원이상의배열은불가능하다. (2) 배열의이름은포인터와같은역할을한다. (3) 배열의인덱스는 1에서부터시작한다. (4) 선언한다음, 실행도중에배열의크기를변경하는것이가능하다.
More informationChapter #01 Subject
Device Driver March 24, 2004 Kim, ki-hyeon 목차 1. 인터럽트처리복습 1. 인터럽트복습 입력검출방법 인터럽트방식, 폴링 (polling) 방식 인터럽트서비스등록함수 ( 커널에등록 ) int request_irq(unsigned int irq, void(*handler)(int,void*,struct pt_regs*), unsigned
More informationAPI 매뉴얼
PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned
More informationchap 5: Trees
5. Threaded Binary Tree 기본개념 n 개의노드를갖는이진트리에는 2n 개의링크가존재 2n 개의링크중에 n + 1 개의링크값은 null Null 링크를다른노드에대한포인터로대체 Threads Thread 의이용 ptr left_child = NULL 일경우, ptr left_child 를 ptr 의 inorder predecessor 를가리키도록변경
More informationContents Activity Define Real s Activity Define Reports UI, and Storyboards Activity Refine System Architecture Activity Defin
OSP Stage 2040 < Design > 그놈! Clone Checker Project Team T4 Date 2016-04-12 Team Information 201411258 강태준 201411265 김서우 201411321 홍유리 Team 4 1 Contents Activity 2041. Define Real s Activity 2042. Define
More information표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인
표준프레임워크로구성된컨텐츠를솔루션에적용하는것에문제가없는지확인 ( S next -> generate example -> finish). 2. 표준프레임워크개발환경에솔루션프로젝트추가. ( File -> Import -> Existring Projects into
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More informationMicrosoft PowerPoint - System Programming Lab Week1.ppt [호환 모드]
System Programming Lab Week 1: Basic Skills for Practice Contents vi Editor 사용법 GCC 컴파일러사용법 Makefile 사용법 GDB 사용법 VI Editor Usage vi 모드 입력모드 : 실제문서를편집하는모드. 명령모드 : 키입력이바로명령이되는모드로서쓴내용을삭제하거나, 복사할때사용. ex 명령모드
More information<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C4C656D70656C2D5A69762E637070>
/* */ /* LZWIN.C : Lempel-Ziv compression using Sliding Window */ /* */ #include "stdafx.h" #include "Lempel-Ziv.h" 1 /* 큐를초기화 */ void LZ::init_queue(void) front = rear = 0; /* 큐가꽉찼으면 1 을되돌림 */ int LZ::queue_full(void)
More information이 장에서 사용되는 MATLAB 명령어들은 비교적 복잡하므로 MATLAB 창에서 명령어를 직접 입력하지 않고 확장자가 m 인 text 파일을 작성하여 실행을 한다
이장에서사용되는 MATLAB 명령어들은비교적복잡하므로 MATLAB 창에서명령어를직접입력하지않고확장자가 m 인 text 파일을작성하여실행을한다. 즉, test.m 과같은 text 파일을만들어서 MATLAB 프로그램을작성한후실행을한다. 이와같이하면길고복잡한 MATLAB 프로그램을작성하여실행할수있고, 오류가발생하거나수정이필요한경우손쉽게수정하여실행할수있는장점이있으며,
More information목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate
ALTIBASE HDB 6.1.1.5.6 Patch Notes 목차 BUG-39240 offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG-41443 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate 한뒤, hash partition
More informationPowerPoint Presentation
FORENSICINSIGHT SEMINAR SQLite Recovery zurum herosdfrc@google.co.kr Contents 1. SQLite! 2. SQLite 구조 3. 레코드의삭제 4. 삭제된영역추적 5. 레코드복원기법 forensicinsight.org Page 2 / 22 SQLite! - What is.. - and why? forensicinsight.org
More informationBMP 파일 처리
BMP 파일처리 김성영교수 금오공과대학교 컴퓨터공학과 학습내용 영상반전프로그램제작 2 Inverting images out = 255 - in 3 /* 이프로그램은 8bit gray-scale 영상을입력으로사용하여반전한후동일포맷의영상으로저장한다. */ #include #include #define WIDTHBYTES(bytes)
More information-. Data Field 의, 개수, data 등으로구성되며, 각 에따라구성이달라집니다. -. Data 모든 의 data는 2byte로구성됩니다. Data Type는 Integer, Float형에따라다르게처리됩니다. ( 부호가없는 data 0~65535 까지부호가있는
Dong Yang E&P 인버터 Modbus Monitoring Protocol 2018. 08. 27 Sun Spec (Modbus-RTU) -. Modbus Protocol 각 Field에대한설명 Frame갂의구별을위한최소한의시갂 BaudRate 9600에서 1bit 젂송시갂은 Start 0.104msec, (3.5 character Times, 1 Character
More information슬라이드 1
Delino EVM 용처음시작하기 - 프로젝트만들기 (85) Delfino EVM 처음시작하기앞서 이예제는타겟보드와개발홖경이반드시갖추어져있어야실습이가능합니다. 타겟보드 : Delfino EVM + TMS0F85 초소형모듈 개발소프트웨어 : Code Composer Studio 4 ( 이자료에서사용된버전은 v4..입니다. ) 하드웨어장비 : TI 정식 JTAG
More informationA Dynamic Grid Services Deployment Mechanism for On-Demand Resource Provisioning
C Programming Practice (II) Contents 배열 문자와문자열 구조체 포인터와메모리관리 구조체 2/17 배열 (Array) (1/2) 배열 동일한자료형을가지고있으며같은이름으로참조되는변수들의집합 배열의크기는반드시상수이어야한다. type var_name[size]; 예 ) int myarray[5] 배열의원소는원소의번호를 0 부터시작하는색인을사용
More information[ 마이크로프로세서 1] 2 주차 3 차시. 포인터와구조체 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Functi
2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Function) 1. 함수의개념 입력에대해적절한출력을발생시켜주는것 내가 ( 프로그래머 ) 작성한명령문을연산, 처리, 실행해주는부분 ( 모듈 ) 자체적으로실행되지않으며,
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationUSER GUIDE
Solution Package Volume II DATABASE MIGRATION 2010. 1. 9. U.Tu System 1 U.Tu System SeeMAGMA SYSTEM 차 례 1. INPUT & OUTPUT DATABASE LAYOUT...2 2. IPO 중 VB DATA DEFINE 자동작성...4 3. DATABASE UNLOAD...6 4.
More information